Conformité en matière de cybersécurité dans le secteur des assurances : guide complet

Aujourd’hui, les assureurs doivent se conformer à certaines des réglementations les plus strictes du marché. Avec l’essor des services numériques, la multiplication des partenaires tiers et la gestion de volumes toujours plus importants de données personnelles, la conformité devient à la fois complexe et cruciale pour la résilience des entreprises.

Les défis liés à la conformité en matière de cybersécurité

De nombreux assureurs utilisent à la fois des systèmes anciens et des outils modernes, ce qui crée des environnements d’authentification hétérogènes, avec des politiques de mot de passe variées et une MFA qui n’est pas toujours appliquée uniformément.

Les interactions fréquentes entre la gestion des sinistres, la souscription et le service client rendent le phishing et l’ingénierie sociale difficiles à détecter. De plus, la dépendance à de nombreux partenaires tiers expose l’assureur à des failles hors de son contrôle direct. Des groupes comme Scattered Spider ont montré à quel point des faiblesses dans l’authentification MFA et les procédures du service d’assistance peuvent être exploitées, soulignant l’importance de renforcer la vérification des identités, l’hygiène des mots de passe et la gestion des accès.

Ces contraintes opérationnelles rendent la conformité indispensable pour les assureurs, mais compliquent le respect de réglementations telles que le Règlement général sur la protection des données (RGPD), le Digital Operational Resilience Act (DORA), la Health Insurance Portability and Accountability Act (HIPAA), ainsi que les exigences de la National Association of Insurance Commissioners (NAIC) et du Department of Financial Services (DFS). Ces règles sont essentielles pour protéger les données sensibles et assurer la résilience.

Réglementations clés à connaître

Les réglementations pour le secteur de l’assurance varient selon les régions. Il est donc important que chaque organisation sache quelles règles s’appliquent. Ci-dessous, un résumé des principales réglementations par région que les assureurs doivent connaître.

États-Unis

Loi sur la sécurité des données de la NAIC : Les compagnies d’assurances doivent mettre en place un programme complet de sécurité de l’information. Celui-ci doit inclure des contrôles d’accès renforcés, l’authentification multifactorielle (MFA) pour les accès à distance et la détection des mots de passe compromis. La Loi type prévoit également des exigences pour l’investigation des incidents, la supervision des prestataires de services et la déclaration des failles aux régulateurs étatiques.

Réglementation cybersécurité du DFS de New York (23 NYCRR 500)
Les compagnies d’assurances et les entités régulées par le Department of Financial Services (DFS) doivent mettre en place l’authentification MFA ou des contrôles équivalents, réaliser des évaluations de risque annuelles et appliquer des mesures pour limiter les risques liés aux mots de passe. La réglementation exige également :
• Un programme formel de cybersécurité
• Des politiques de sécurité écrites
• Des obligations de gouvernance et de reporting
• Une planification de la réponse aux incidents

HIPAA : Lorsque des données de santé sont concernées, les compagnies d’assurances doivent respecter les mesures techniques prévues par la réglementation HIPAA. Celles-ci incluent l’utilisation d’identifiants uniques pour chaque utilisateur, une authentification sécurisée, des contrôles d’accès stricts et des mécanismes pour bloquer tout accès non autorisé. La journalisation des événements et la surveillance sont également obligatoires.

Royaume-Uni

PRA Supervisory Statement SS1/21 : La Prudential Regulation Authority (PRA) fixe des attentes concernant la résilience opérationnelle des assureurs. Les compagnies doivent s’assurer que les contrôles d’identité et d’accès soutiennent la continuité des services essentiels, que l’accès est bien gouverné et que la sécurité renforce la résilience globale en cas de perturbation.

ICO Guidance sous UK GDPR : Selon le “UK GDPR”, les assureurs doivent appliquer des politiques de mot de passe solides, utiliser un hachage sécurisé, mettre en place la MFA lorsque nécessaire et signaler rapidement toute faille.

Union européenne

RGPD : Le RGPD exige que les assureurs assurent un traitement sécurisé des données personnelles, mettent en place une authentification forte et appliquent des contrôles de sécurité adaptés aux risques. Les organisations doivent être en mesure de démontrer que la gestion des identités et des accès est robuste et que les failles sont déclarées dans les délais imposés.

Digital Operational Resilience Act (DORA) : La conformité DORA définit des exigences strictes pour la résilience opérationnelle des services financiers. Pour les assureurs, cela inclut :
• Une gouvernance stricte de l’identité et des accès
• La gestion des risques informatiques et cyber
• La supervision des prestataires de services et de la chaîne d’approvisionnement
• La déclaration des incidents et planification de continuité

Principales exigences de conformité

Se conformer aux réglementations peut être complexe, mais certaines exigences sont communes à toutes les régions. Les régulateurs attendent que les organisations puissent prouver que :

• Les mots de passe sont forts, uniques et non compromis
• L’authentification est appliquée de manière uniforme et résistante aux attaques
• Les utilisateurs sont vérifiés avant toute réinitialisation de mot de passe ou modification des accès
• Les comptes à privilèges et les accès à distance sont strictement contrôlés
• Les journaux d’audit sont complets et permettent de démontrer la conformité
• L’accès des prestataires de services est encadré et surveillé

Les contrôles d’identité sont désormais au cœur de la cybersécurité dans le secteur de l’assurance. Ils réduisent l’exposition aux attaques basées sur les identifiants, limitent l’impact du phishing et aident les assureurs à respecter leurs obligations légales. C’est là que Specops joue un rôle essentiel.

Comment Specops aide les compagnies d’assurances à respecter les exigences de conformité

Specops propose une plateforme complète de sécurité des identités, conçue pour aider les assureurs à renforcer les contrôles d’accès, améliorer l’hygiène des mots de passe et faciliter la conformité avec les réglementations aux États-Unis, au Royaume-Uni et en Europe.

Élimination des mots de passe faibles ou compromis :

Specops Password Policy vérifie en permanence les mots de passe d’Active Directory en les comparant à une base de données de plus de 4,5 milliards de mots de passe compromis connus, y compris ceux détectés en temps réel lors d’attaques par force brute ou récupérés par des malwares. Cela permet de répondre aux exigences de détection des mots de passe compromis de la NAIC et de suivre les bonnes pratiques de sécurité attendues par les réglementations NYDFS, RGPD et DORA.

Specops Password Policy permet aux assureurs d’appliquer des règles modernes basées sur des passphrases sur leurs systèmes anciens, l’Active Directory et les services cloud. Cela supprime les incohérences liées à l’accumulation de systèmes au fil du temps et assure que tous les environnements d’authentification respectent les exigences réglementaires et les bonnes pratiques de sécurité.

MFA résistante au phishing :

Specops Secure Access propose des méthodes d’authentification multifacteur (MFA) résistantes aux menaces modernes, comme le phishing en temps réel et les attaques de fatigue MFA. Elle est particulièrement utile pour les postes à risque élevé dans l’assurance, tels que les experts sinistres, les souscripteurs et les équipes de service client. Elle permet également de se conformer aux exigences MFA de la réglementation 23 NYCRR 500 et de renforcer la résilience selon les directives DORA et PRA.

Réinitialisation sécurisée des mots de passe en libre-service :

Specops uReset permet aux utilisateurs de réinitialiser leurs mots de passe en toute sécurité depuis n’importe quel appareil, même à distance, tout en assurant une vérification d’identité solide. Cette solution réduit également la charge de travail du helpdesk, ce qui fait gagner du temps et diminue les coûts.

Protection contre l’ingénierie sociale :

Les services d’assistance sont souvent ciblés par des attaquants se faisant passer pour des courtiers, agents ou employés. Specops Secure Service Desk s’assure que toutes les réinitialisations de mot de passe et modifications de comptes respectent une vérification d’identité stricte et traçable, renforçant ainsi la conformité aux règles de contrôle des accès et de journalisation.

Notre équipe peut vous aider à sécuriser vos identités et votre authentification. Que ce soit en renforçant la sécurité des mots de passe, en appliquant des politiques plus strictes ou en permettant des réinitialisations sécurisées, nous sommes là pour vous accompagner. Pour en savoir plus sur la manière dont nous pouvons soutenir vos objectifs de sécurité, contactez-nous ou consultez le blog de Specops.